Как будут проверять операторов персональных данных

Как подготовиться к проверке Роскомнадзора

Поскольку подготовка к проверке и её прохождение требуют знаний законодательства и требований регуляторов, то зачастую организации прибегают к привлечению  специалистов со стороны, которые соберут всю необходимую информацию, разработают документацию и проследят за ее утверждением. Однако в нормативную базу регулярно вносятся изменения, а требования контролирующих органов расширяются. При этом в самой организации тоже постоянно происходят изменения: меняется кадровый состав, структура организации, техническое оснащение. Документация же должна быть актуальна на текущий день, что потребует повторных обращений к специалистам и, как следствие, регулярных платежей за обновление документации.

Теоретически подготовиться к проверке можно самостоятельно. Однако отсутствие квалифицированных специалистов, знаний тонкостей законодательства, опыта прохождения проверки препятствуют успешному прохождению проверки и приводят к выдаче предписаний по устранению нарушений по итогам контрольно-надзорного мероприятия и наложению штрафов.

В последнее время активное распространение получили специальные сервисы, позволяющие автоматизировать процессы по защите информации и поддерживать документацию в актуальном состоянии. Одним из таких сервисов является онлайн-сервис «АльфаДок». Сотрудник вносит необходимую информацию, и сервис автоматически формирует весь пакет документов, готовый для выгрузки и утверждения. При возникновении вопросов можно обратиться в службу технической поддержки,  эксперты которой  проконсультируют по вопросам пользования сервисом и подскажут, какие шаги необходимо выполнить в случае проверки или обращений граждан.

В целом процесс подготовки к проверке состоит из следующих шагов:

1. Проведение внутреннего аудита для анализа процессов обработки персональных данных в учреждении.

В рамках аудита необходимо определить:

• Перечень информационных систем, в которых обрабатываются персональные данные (ИСПДн). В школах такими могут быть системы «Кадровый учет», «Бухгалтерский учет» и «Школа», в состав которой входят программные комплексы, обрабатывающие персональные данные обучающихся и преподавателей.
• Цели обработки. К примеру, для медицинских организаций основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.
• Категории обрабатываемых в организации персональных данных. Например, ФИО, дата рождения, адрес, фотографии, семейное положение, место работы, сведения о  состоянии здоровья. Такой перечень может содержать около ста видов сведений.
• Категории субъектов, персональные данные которых обрабатываются в организации (сотрудники, клиенты, граждане).

1. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности персональных данных.

Необходимо назначить ответственного за организацию обработки персональных данных, как правило, это  руководящее лицо: директор или заместитель директора. В качестве ответственного за обеспечение безопасности персональных данных обычно назначают технического специалиста. 

1. Разработка и утверждение необходимой документации.

ФЗ-152 «О персональных данных» не регламентирует названия документов, но определяет, какие процессы по обработке персональных данных должны быть оформлены документально. Разрабатываемый в сервисе «АльфаДок» пакет документов по защите персональных данных включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»).

Пакет документов обязательно должен включать в себя Политику в отношении обработки персональных данных. Это основной документ,  определяющий все отношения, связанные с обработкой персональных данных в организации. Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться, поэтому мы рекомендуем обязательно опубликовать её на официальном сайте.

1. Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.

Уведомление об обработке персональных данных можно отправить в электронном виде с сайта Роскомнадзора или из сервиса «АльфаДок», где оно автоматически формируется из введенных ранее сведений. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение будет внесено в реестр операторов персональных данных. В случае изменений нужно обязательно уведомить Роскомнадзор, подав информационное письмо с перечнем изменений. При формировании информационного письма в сервисе «АльфаДок» перечень изменений генерируется автоматически.

Роскомнадзор: что проверяет и на что обращает внимание

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

• какие именно данные обрабатывает компания;
• кто отвечает за обработку;
• где можно ознакомиться с политикой компании (в том числе на сайте);
• кому передаются данные;
• как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
• как хранятся документы, и как контролируется доступ в этих помещениях;
• насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Как избежать слежки

Согласно документу, у Роскомнадзора будет информация лишь о факте передаче данных через мобильный интернет, но сам трафик он отслеживать не сможет. Исходя из этого, абоненты, не желающие делиться с ведомством информацией о своих звонках, могут переключиться на использование мессенджеров.

Популярные в России сервисы, например, WhatsApp и Telegram, имеют встроенное сквозное (end to end) шифрование голосовых вызовов. Информацию о том, с кем пользователи ведут текстовую переписку, Роскомнадзор тоже не сможет узнать по запросу оператору связи – ему для этого нужно будет обращаться непосредственно к владельцам мессенджера.

К слову, Telegram российские власти пытались блокировать в апреле 2021 г., но сервис продолжал работать, и в июне 2021 г. «блокировка» была отменена. Также существуют специализированные мессенджеры, во главу угла ставящие именно приватность. В их число, помимо прочих, входит Signal.

Решение Dell «ПК как услуга». Подробнее об этом — в брошюре «Общий экономический эффект от использования решения Dell PCaaS». Получите бесплатно!

• Короткая ссылка
• Распечатать

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2021 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?

Что такое персональные данные

Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии. Все должно храниться в сейфе

Все должно храниться в сейфе

Когда проверку могут продлить

Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:

1. Во время проверки Роскомнадзор получил от правоохранительных органов документы, из которых видно, что оператор нарушает закон.
2. На территории, где проходит проверка, произошло наводнение, затопление или пожар.
3. Во время проверки оказалось, что нужно проверить больше документов, у компании сложная структура, сложный механизм обработки персональных данных.

Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.

Виды проверок

Проверки Роскомнадзора, согласно ст. 9 и 10 закона «О защите…» от 26.12.2008 № 294-ФЗ, могут быть плановыми и внеплановыми. Каждая из них, в свою очередь, может быть документарной или выездной.

Что проверяет Роскомнадзор при плановой проверке

Основная цель плановой проверки — соблюдение законодательства в подведомственной Роскомнадзору сфере. Роскомнадзор проводит плановые проверки с применением специальных проверочных листов. Проверочные листы для каждой подведомственной сферы утверждаются нормативными актами Роскомнадзора.

Проверочный лист, помимо обязательных для него реквизитов (даты проверки, номера, места проведения, наименования организации, в отношении которой проводится проверка, данных об основании проверки и проверяющих сотрудниках), содержит набор вопросов, которые должны быть заданы представителям проверяемой организации. Исходя из ответов или документов, которые есть в организации, проверяющие ставят напротив каждого вопроса ответ «да» либо «нет» в зависимости от того, выполнены обозначенные в вопросе требования или нет.

Для справки! Организация, согласно ч. 12 ст. 9 закона № 294, должна быть письменно уведомлена о предстоящей плановой проверке как минимум за 3 рабочих дня до ее начала. Кроме того, о предстоящей проверке можно узнать на сайте Генпрокуратуры РФ. Там публикуется ежегодный сводный план проверок, публикация проводится в срок до 31 декабря предшествующего проверке года.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Периодичность плановых проверок по общему правилу не может превышать 1 раза в 3 года.

Внеплановая проверка Роскомнадзора — что проверяют

В отличие от плановой, внеплановая проверка проводится не периодически, а при необходимости, если есть основания, предусмотренные ч. 2 ст. 10 закона № 294. Например, при поступлении жалоб на действия организации, с целью проверки, устранены ли ранее выявленные нарушения, и т. д.

Проверочные листы Роскомнадзора в ходе внеплановой проверки не используются. А основная задача внепланового рейда — проверка конкретных фактов, например обозначенных в жалобах граждан, а также выяснение, устранены ранее выявленные недочеты или нет.

Важно! О проведении внеплановой проверки проверяемая организация должна быть уведомлена минимум за сутки до визита проверяющих сотрудников согласно ч. 16 ст

10 закона № 294.

Принципы и цели обработки персональных данных

4.1. ПАО «Газпром», являясь оператором персональных данных, осуществляет обработку персональных данных работников ПАО «Газпром» и других субъектов персональных данных, не состоящих с ПАО «Газпром» в трудовых отношениях.

4.2. Обработка персональных данных в ПАО «Газпром» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ПАО «Газпром» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

• обработка персональных данных осуществляется в ПАО «Газпром» на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ПАО «Газпром» принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.3. Персональные данные обрабатываются в ПАО «Газпром» в целях:

• обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов ПАО «Газпром»;
• осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ПАО «Газпром», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
• регулирования трудовых отношений с работниками ПАО «Газпром» (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
• предоставления работникам ПАО «Газпром» и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
• защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
• подготовки, заключения, исполнения и прекращения договоров с контрагентами;
• обеспечения пропускного и внутриобъектового режимов на объектах ПАО «Газпром»;
• формирования справочных материалов для внутреннего информационного обеспечения деятельности ПАО «Газпром», его филиалов и представительств, а также дочерних обществ и организаций ПАО «Газпром»;
• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• осуществления прав и законных интересов ПАО «Газпром» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ПАО «Газпром», или третьих лиц либо достижения общественно значимых целей;
• в иных законных целях.

Как проходит проверка Роскомнадзора

Итак, на вопрос, ходит ли Роскомнадзор на проверки, есть однозначный ответ — да.

Все начинается с уведомления. Администрация получает инициирующий приказ со всеми реквизитами и планом предстоящих мероприятий. Изначально всеобъемлющему мониторингу подвергается документы. Работодатель обязан выслать пакет документов в течение 10 дней. Если нареканий не возникает, то выезд на предприятие отменяется.

Но при обнаружении малейших недочетов предприниматель будет вынужден лично принимать инспекторов на своей территории. Как правило, их двое. Им выделяется отдельная комната для работы.

На выездную инспекцию отводится 20 дней. Если инспекторы обнаруживают глобальные нарушения, то за ними остается право затребовать еще столько же дней на проверку. По завершении работы инспекторов составляется Акт.

В нем указываются:

• обнаружены нарушения;
• рекомендации по их устранению;
• временные рамки, отведенные на устранение недочетов.

Если работодатель не согласен с мнением инспекторов, он может обжаловать данные, озвученные в итоговом Акте. Жалоба подается в региональный департамент Роскомнадзора. На ее рассмотрение отводится один месяц.

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности

Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании

Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

• ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
• срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.

Политика обработки персональных данных: как составить документ

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

относятся к субъектам, которых связывают с оператором трудовые отношения;

Персональные данные сотрудника: как с ними работать

• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными;
• включают только ФИО субъектов ПД;
• нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Коротко о проверках по защите персональных данных

Роскомнадзор может прийти с проверкой к любому оператору персональных данных: в компанию, к индивидуальному предпринимателю или обычному человеку. Оператора могут проверить по плану, неожиданно или просто наблюдать за ним:

1. Плановая проверка. Раз в три года Роскомнадзор просит оператора прислать необходимые документы, проверяет их и составляет акт. Если проверяющий найдёт нарушения, оператора могут оштрафовать или прийти к нему с внеплановой проверкой.
2. Внеплановая проверка. Сотрудники Роскомнадзора приезжают туда, где оператор работает с персональными данными — в офис или домой. Инспектор проверит документы и технику оператора и если найдёт нарушения, потребует исправить. Если оператор не исправится, его могут оштрафовать.
3. Наблюдение за оператором. Проверяющие тайно следят, что оператор публикует в интернете и какие документы отправляет в Роскомнадзор. Если сотрудники Роскомнадзора найдут нарушения, они потребует их исправить или придут с внеплановой проверкой.

Любое нарушение проверяющими правил проведения проверок — повод обжаловать её результаты. Если Роскомнадзор не согласится с жалобой, можно подать в суд.